Le questionnaire standard de collecte d'informations est utilisé par les équipes de gestion des risques des tiers pour effectuer des évaluations standardisées des risques liés aux fournisseurs et aux vendeurs. Les questionnaires SIG peuvent être utilisés tels quels ou dans le cadre d'un programme plus large de gestion des risques des tiers (TPRM). Ce post examine les principales mises à jour de SIG 2023 et la façon dont elles peuvent être utilisées dans vos évaluations des risques liés aux fournisseurs.
Le questionnaire standard de collecte d'informations (SIG) est une évaluation des risques réalisée par une tierce partie et conçue par Shared Assessments. SIG est disponible en plusieurs formats, y compris SIG Core, SIG Lite et des versions personnalisées. Les organisations utilisent les questionnaires SIG pour mesurer les risques liés aux tiers dans 19 domaines, et chaque question est associée à plusieurs exigences de conformité et de réglementation. SIG couvre un large éventail de domaines allant de la sécurité de l'information et de la cybersécurité à la confidentialité et à l'ESG.
Shared Assessments révise et met à jour les questionnaires SIG sur une base annuelle. Ces mises à jour comprennent généralement des ajouts et des modifications aux questions, domaines et catégories de sujets sur la base des normes opérationnelles actuelles, des changements sociétaux et des développements dans des industries et secteurs spécifiques.
La version actuelle du SIG évalue le risque à travers les 19 domaines de contrôle suivants, également appelés "domaines" :
Les principaux ajouts de SIG 2023 comprennent le nouveau domaine ESG et le nouveau domaine Nth-Party Management. Par ailleurs, le domaine Politique de sécurité a été supprimé et son contenu a été déplacé vers les domaines Gestion des tiers et Assurance de l'information. Nous allons entrer dans les détails ci-dessous.
Le changement le plus important dans SIG 2023 est l'ajout du domaine environnemental, social et de gouvernance (ESG). La conformité ESG a gagné en importance avec l'émergence de plusieurs nouvelles réglementations, telles que le projet de directive européenne sur la diligence raisonnable en matière de durabilité des entreprises et la loi allemande sur la diligence raisonnable en matière de chaîne d'approvisionnement. La mise à jour SIG Core 2023 intègre 131 questions relatives aux pratiques environnementales, sociales et de gouvernance.
Par rapport à SIG 2022, SIG 2023 approfondit des sujets spécifiques au sein d'ESG. Par exemple, SIG 2022 comprenait des questions de haut niveau comme "Avez-vous un programme ESG en place ?". SIG 2023, quant à lui, aborde plusieurs sujets ESG spécifiques dans les catégories suivantes :
La gestion des tierces parties est un autre nouveau domaine de SIG 2023. Ce sujet était auparavant couvert dans le cadre du domaine Gestion des risques de l'entreprise.
De nombreux facteurs relient les risques accrus liés aux données aux quatrièmes parties. Par exemple, les auteurs de menaces sont connus pour cibler les fournisseurs de technologies afin de lancer ensuite des attaques par ransomware contre les partenaires commerciaux des fournisseurs et leurs clients. Un bon exemple est la violation de Kaseya de l'année dernière, qui visait une plateforme populaire utilisée par les fournisseurs de services gérés pour fournir des services à leurs clients.
En outre, les entreprises étant de plus en plus connectées, les PII, PHI, la propriété intellectuelle et d'autres données sensibles peuvent se retrouver entre les mains de quatrièmes et de nièmes parties qui ne sont pas connues du propriétaire ou du responsable initial des données. Dans ce contexte, distinguer le risque de quatrième et de nième partie du domaine de la gestion des risques de l'entreprise est tout à fait logique. Les catégories du domaine de la gestion des Nième-Parties incluent :
SIG 2023 : Quelles sont les nouveautés et quel sera leur impact sur votre programme TPRM ?
Rejoignez Thomas Humphreys, expert en conformité, qui passe en revue le questionnaire SIG 2023 et explique comment exploiter les correspondances disponibles avec les normes et réglementations telles que NIST, ISO, FFIEC, NERC, etc.
Un autre changement majeur pour SIG 2023 est l'ajout de plusieurs nouvelles catégories. Les SIG divisent chaque domaine en plusieurs catégories afin d'approfondir et de cibler des groupes de contrôles disparates. Grâce à ces nouvelles catégories, SIG 2023 approfondit des sujets spécifiques et permet aux entreprises de se concentrer sur les types de risques qui les préoccupent le plus. Par exemple, plutôt que de réutiliser la catégorie "Gestion des incidents" de SIG 2022, les catégories ont été affinées en "Traitement des incidents" et "Enseignements tirés du traitement des incidents".
Les mises à jour de SIG 2023 mettent davantage l'accent sur la gestion et la gouvernance de la sécurité de l'information que sur des catégories spécifiques de contrôle de la confidentialité, de la sécurité et de la conformité. À un niveau superficiel, considérez certains des changements et mises à jour des noms de domaine :
*La plupart des questions relevant du domaine de la politique de sécurité ont été déplacées vers la gestion des tiers ou la sécurité de l'information.
Un autre exemple évident de cette évolution est la création du nouveau domaine ESG, qui reflète la corrélation croissante entre les politiques commerciales générales d'une organisation et son exposition au risque. Il est également important de noter que la mise à jour SIG 2023 comprend de nouvelles questions liées aux politiques de gouvernance de gestion dans chacun des 19 domaines. Ces mises à jour tentent de dépasser le simple fait de déterminer si un fournisseur a mis en place des contrôles spécifiques en incluant des questions plus larges, telles que la manière dont les fournisseurs suivent et gèrent la nouvelle législation.
Qu'il s'agisse de l'évolution des risques de cybersécurité, des bouleversements géopolitiques, des perturbations de la chaîne d'approvisionnement ou de la surveillance accrue des facteurs ESG, vos tiers opèrent dans un environnement de risque en constante évolution qui peut avoir des implications réelles pour votre entreprise. C'est pourquoi le questionnaire standard de collecte d'informations est un outil essentiel pour de nombreux programmes de gestion des risques liés aux tiers.
Prevalent propose les questionnaires SIG Core et SIG Lite dans le cadre de sa plateforme de gestion des risques pour les tiers, ainsi que plus de 750 autres modèles d'évaluation basés sur des normes. Nos clients automatisent et accélèrent leurs évaluations de tierces parties, combinent les résultats des évaluations et les informations de surveillance continue, et obtiennent des conseils prescriptifs pour remédier efficacement aux risques. Demandez une démonstration pour découvrir comment Prevalent peut alimenter votre programme TPRM.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024